Novo otkrivena ranjivost uskraćivanja usluge u ModSecurity WAF (Web Application Firewall) motoru izazvala je uzbunu među stručnjacima za sigurnost.
Ova greška, označena kao CVE-2025-52891, pogađa određene verzije mod_security2 te se može aktivirati obradom XML zahtjeva koji sadrže prazne tagove, što potencijalno može dovesti do potpunog prekida usluge.
Ranljivost utječe na mod_security2 verzije 2.9.8, 2.9.9 i 2.9.10, ali isključivo kada administratori omoguće funkcionalnost SecParseXmlIntoArgs.
Ova relativno nova funkcionalnost, koja analizira XML čvorove u ARGS i putanje čvorova u ARGS_NAMES radi poboljšanog nadzora sigurnosti, postaje problematična prilikom obrade neispravnog XML sadržaja.
ModSecurity je široko priznat kao “švicarski vojni nožić” među WAF-ovima i služi kao standardni open-source motor za web application firewall koji koriste poduzeća, vladine organizacije, pružatelji internetskih usluga i komercijalni WAF dobavljači širom svijeta.
Prvobitno dizajniran za Apache HTTP Server, evoluirao je da podržava više platformi, uključujući Microsoft IIS i Nginx.
Ranjivost proizlazi iz nepravilnog rukovanja praznim XML tagovima tokom procesa analize. Kada je SecParseXmlIntoArgs postavljen na “On” ili “OnlyArgs”, a sistem primi XML sadržaj s Content-Type “application/xml” koji sadrži barem jedan prazan tag (kao što je ``), dolazi do segmentacijske greške.
Osnovni uzrok leži u korištenju funkcije `strlen()` u ModSecurity za izračunavanje duljine vrijednosti XML čvorova. Prilikom obrade praznih čvorova, `strlen()` se primjenjuje na null vrijednost, uzrokujući pad sistema.
Ovo predstavlja klasičnu ranjivost dereferenciranja null pokazivača, gdje program pokušava pristupiti memoriji koja nije alocirana ili je de-alocirana.
Sigurnosni istraživači ovu ranjivost ocjenjuju umjerenim CVSS rezultatom od 6.5/10, prvenstveno zbog specifičnih konfiguracijskih zahtjeva potrebnih za iskorištavanje. Međutim, posljedice za pogođene sustave mogu biti ozbiljne.
Posljedice uključuju potpuni prekid usluge putem napada uskraćivanjem usluge, padove servera koji zahtijevaju ručno ponovno pokretanje, te ne zahtijevaju nikakvu provjeru autentičnosti za iskorištavanje. Napad se može izvesti daljinski, što omogućuje izvođenje napada s bilo kojeg mjesta na internetu.
Ranjivost pogađa samo mod_security2 instalacije i ne utječe na libmodsecurity3, koji je implementiran u C++ i ne koristi problematičnu `strlen()` funkciju. Ova arhitektonska razlika naglašava važnost sigurnih praksi kodiranja u različitim programskim jezicima.
Ranjivost je otkrio i prijavio Andrew Howe (@RedXanadu), stručnjak za cyber sigurnost iz Melbournea, Australija. Howe je poznat u sigurnosnoj zajednici po svom istraživanju otvorenog koda i doprinosima metodologijama penetracijskog testiranja. Njegov rad je predstavljen u udžbenicima o sigurnosti, akademskim radovima i profesionalnim metodologijama, uključujući OWASP Testing Guide.
Sistemski administratori imaju nekoliko opcija za zaštitu svojih instalacija. Kao neposredno rješenje, mogu postaviti SecParseXmlIntoArgs na “Off” u ModSecurity konfiguraciji, jer je to zadana postavka i mnoge instalacije su već zaštićene. Dugoročno rješenje je primjena predstojećeg sigurnosnog zakrpe kada postane dostupna; OWASP ModSecurity tim je potvrdio ranjivost i radi na zakrpi. Također se preporučuje revizija trenutnih ModSecurity konfiguracija kako bi se identificirali sustavi koji koriste SecParseXmlIntoArgs funkciju i procijenila njezina nužnost za specifične slučajeve upotrebe.
Ova ranjivost predstavlja najnoviji u nizu sigurnosnih problema koji pogađaju ModSecurity instalacije. Ranije 2025. godine, platforma se suočila s drugim značajnim ranjivostima, uključujući CVE-2025-48866, ranjivost uskraćivanja usluge visoke ozbiljnosti povezane s “sanitiseArg” akcijom, koja se mogla iskoristiti slanjem pretjeranog broja argumenata.
Otkriće CVE-2025-52891 naglašava tekuće sigurnosne izazove s kojima se suočavaju web application firewall-ovi, koji služe kao ključne prve linije obrane od web baziranih napada. Kako ovi sustavi obrađuju sve složeniji i raznovrsniji web promet, uključujući XML payloadove, površina za napad nastavlja se širiti.
OWASP ModSecurity projekt, koji je prešao pod okrilje OWASP-a početkom 2024. godine, aktivno rješava sigurnosne probleme i implementira poboljšanja na platformi. Organizacija je uspostavila nove razvojne procese i inicijative za angažman zajednice kako bi potaknula kontinuirana poboljšanja sigurnosti.
Stručnjaci za sigurnost preporučuju organizacijama koje koriste ModSecurity da odmah izvrše procjenu svojih konfiguracija i primijene odgovarajuće mjere ublažavanja. Relativno uski vektor napada koji zahtijeva specifične konfiguracijske postavke može ograničiti široko iskorištavanje, ali pogođeni sustavi ostaju ranjivi dok se pravilno ne zakrpe ili rekonfiguriraju.
Ovaj incident služi kao podsjetnik da čak i sigurnosno orijentirane aplikacije poput web application firewall-ova zahtijevaju stalnu budnost i promptno zakrpanje kako bi zadržale svoje zaštitne sposobnosti protiv rastućih prijetnji.